网络信息安全培训重点解析.pptVIP

举起手机，这是不是信息资产？(指定一个前排的人)好，现在假设你是我的助理，我把这个手机交给你，告诉你，今天我要开一天会，你帮我保管一下,如果有电话，你帮我接一下，如果是新的客户，你帮我保存到手机里面。 现在旁边一个人走过来，想借用我的手机，你借不借？ 如果我说过，这个同事得用我的手机跟一个客户联系一下。 企划部，一个研发一部的PM来向人事查阅研发三部两个工程师的简历？ 第一道防线：防止有人坐在你的电脑前面，冒充你的身份进行计算机操作 最后一道防线：一旦网络边界设备（防火墙）等被突破，黑客直接面对主机系统时，口令就是最后一道防线了 SQL Slammer蠕虫就利用的是MS SQL Server缺省SA口令来实施攻击的 两个银行卡，登录密码，取款密码，msn密码，qq密码。论坛密码，邮箱密码。。。。淘宝、支付宝登录密码，支付密码 经常会误认为信息安全就是要保证公司的信息资产不被泄露，即保证信息的保密性 经常会误认为信息安全就是网络的安全，认为仅需要防火墙、入侵检查就可以保证信息的安全了 经常会误认为只要防止黑客入侵就可以了 经常会误认为信息安全只需要安全技术就可以了 误认为信息安全就是一场运动，运动过后就不需要信息安全了，就不需要遵守安全规定了 误认为在信息安全事务上的投入是没有价值的，只会给工作带来麻烦 * 工作环境安全 应主动防止陌生人尾随进入办公区域 遇到陌生人,要上前主动询问 禁止随意放置或丢弃含有敏感信息的纸质文件，废弃文件需用碎纸机粉碎 废弃或待修磁介质转交他人时应经IT管理部门消磁处理 离开座位时，应将贵重物品、含有机密信息的资料锁入柜中，并对使用的电脑桌面进行锁屏 应将复印或打印的资料及时取走 禁止在公共场合谈论公司信息 要点总结！ 加强敏感信息的保密 留意物理安全 遵守法律法规和安全策略 公司资源只供公司所用 保守口令秘密 谨慎使用internet和Email 加强人员安全管理 识别并控制第三方风险 加强防病毒措施 有问题及时报告 人们经常会误认为 * * 信息安全就是防泄露 信息安全就是网络安全 信息安全就是防黑客 信息安全就是技术问题 信息安全就是一场运动 信息安全就是麻烦 仅仅通过技术手段就可以解决安全问题 北京移动充值卡泄漏事件 信息安全理念上的误区 北京移动冲值卡泄漏事件之前在信息安全技术设备上的投入达到了1.2亿 信息安全就是网络安全 只要防止黑客入侵和病毒就可以了 信息安全只要保证公司的机密信息不被泄露，即保证信息的保密性 信息安全理念上的误区 Confidentiality 机密性 Availability 可用性 Integrity 完整性 解决安全问题搞运动 问题严重了，搞个运动 运动过了，可以歇歇 信息安全理念上的误区 信息安全与业务无关 信息安全事务上的投入是没有价值的，只会给工作带来麻烦 信息安全是业务之外多余的工作，日常的业务流程无须考虑信息安全 系统或者网络安全失效，不会造成业务上的财务损失 信息安全理念上的误区 小结：正确的认识 七分管理、三分技术，技术是基础，管理才是关键 网络安全是信息安全的一部分 信息安全是一项长期的工作，贯穿在日常的工作中 信息安全的任务就是保障业务的持续性，信息安全是业务持续的必要条件 本次培训小结 确保敏感信息免遭窃取、丢失、非授权访问、非授权泄漏、非授权拷贝，这些信息既包括纸质文件，又包括计算机和存储设备中的信息。 谨记您的安全责任 从一点一滴做起！ 从自身做起！ * 从前面这个故事引出“企业的信息安全”特别需要员工的安全意识的提升，从而导出企业的信息安全活动需要全体员工的积极参与和配合。 信息是有价值的符号、数据、图片和语音，它能够被企业创建、使用、处理、存储及传输。信息是必须依赖介质存在。 信息安全就是采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。 * 演示（Video） Email安全策略 不当使用Email可能导致法律风险 禁止发送或转发反动或非法的邮件内容 未经发送人许可，不得转发接收到的邮件 不得伪造虚假邮件，不得使用他人账号发送邮件 未经许可，不得将属于他人邮件的消息内容拷贝转发 与业务相关的Email应在文件服务器上做妥善备份 包含客户信息的Email应转发主管做备份 个人用途的Email不应干扰工作，并且遵守本策略 避免通过Email发送机密信息，如果需要，应采取必要的加密保护措施 * * 接收邮件注意…… 不安全的文件类型：绝对不要打开任何以下文件类型的邮件附件：.bat, .com, .exe, .vbs 未知的文件类型：绝对不要打开任何未知文件类型的邮件